blagam o sparwdzenie loga

IP: *.Kuso.osi.pl 06.05.05, 17:28
jeszcze nie usunelam wszystkiego co powinnam - a dzis znowu- atak wirusow!!!
Kilka rzeczy HijacThis - usunełam- ale innych boję sie - bo nie wiem. Mialam
na pulpicie rozne ikonki - ale to wywalilam. Teraz co pojawiaja sie dziwne
komunikaty np.o zagrozeniu . Avast- nie potrafil przeskanowac 3 plikow- i
pewnie tam "cos" tkwi. W dodatku- co chwile wylancza sie internet .Blagam
pomozcie !!!!
ogfile of HijackThis v1.99.0
Scan saved at 16:48:53, on 2005-05-06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\intmonp.exe
C:\PROGRA~1\GADU-G~1\gg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Grazyna\Ustawienia lokalne\Temp\Katalog tymczasowy
9 dla hijackthis1.99.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ActiveX Control - {85A0FA4F-299C-4809-993A-ACF646A2EB9F} -
C:\WINDOWS\System32\mssij.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [uUW80+żÔÇč]Iú" ‹üžiC:\Program Files\ISTsvc\istsvc.exe]
C:\WINDOWS\lvascppp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security
iGuard.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRA~1\GADU-G~1\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105892588046
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F9C0CC3-DB07-4219-AC65-
45A128789980}: NameServer = 69.50.184.86,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{94C41D8E-6389-4532-9194-
32D1073ED7FA}: NameServer = 69.50.184.86,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{E90BCB0C-1D3E-4C84-A63A-
590933C5E211}: NameServer = 69.50.184.86,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F9C0CC3-DB07-4219-AC65-
45A128789980}: NameServer = 69.50.184.86,195.225.176.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{2F9C0CC3-DB07-4219-AC65-
45A128789980}: NameServer = 69.50.184.86,195.225.176.110
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program
Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe

    • neder Re: blagam o sparwdzenie loga 06.05.05, 17:40

      uruchamiasz komputer w trybie awaryjnym i usuwasz:
      > popuper.exe -> z C:\WINDOWS\
      > msole32.exe -> z C:\WINDOWS\System32\
      > intmonp.exe -> z C:\WINDOWS\System32\
      > ISTsvc oraz Security iGuard -> z Program Files -> poprzez dodaj/usuń programy, potem sprawdzasz jeszcze dla pewności, czy nie zostały po nich w Program Files jakieś resztki.

      Uruchamiasz ponownie komputer, w HJ usuwasz wpisy:
      > O2 - BHO: ActiveX Control - {85A0FA4F-299C-4809-993A-ACF646A2EB9F} -
      > C:\WINDOWS\System32\mssij.dll (file missing)
      > O4 - HKLM\..\Run: [uUW80+żÔÇč]Iú" ‹üžiC:\Program Files\ISTsvc\istsvc.exe
      > ]
      > C:\WINDOWS\lvascppp.exe -> tego powinno już nie być
      > O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security
      > iGuard.exe

      i FixChecked

      Ponownie restartujesz komputer i wklejasz nowy log.


      PS. masz firewalla? jeśli masz legalny system to odwiedź też
      www.windowsupdate.com
      • Gość: grazka Re: blagam o sparwdzenie loga IP: *.Kuso.osi.pl 06.05.05, 18:03
        Serdecznie dziekuje !!! A wiesz, że po tym jak wyslalam tu post- zrobilam
        przywroc moj system - i teraz - w Hijac This- nie mam tych zapisow , ktore
        kazalas wyrzucic - oprocz tego o4 > O4 - HKLM\..\Run: [uUW80+żÔÇč]
        Iú" ‹üžiC:\Program Files\ISTsvc\ists
        Ale tego usunac juz nie potrafie- od kilku miesiecy. W sumie nawet nie
        zauwazam, ze to jest :(
        Jeszcze raz bardzo , bardzo dziekuje za tak szybka pomoc.
        • Gość: Kolobos Re: blagam o sparwdzenie loga IP: *.warszawa.sdi.tpnet.pl 06.05.05, 19:41
          Caly czas masz tego rootkita o ktorym pisalem wczesniej i pewnie bedziesz go
          miec jeszcze dlugo, skoro nie chcesz zrobic tego co nspisalem.
          • Gość: grazka Re: blagam o sparwdzenie loga IP: *.Kuso.osi.pl 06.05.05, 23:35
            Oj chce , chce bardzo- zrobic to co pisales- ale nie potrafie wszystkiego :(
            A moja informatczka mowila- "troche wiedzy gorsze od niewiedzy " - i dopiero po
            tym jak zapisalam plik fix.reg - zorientowalam sie- ze nie zrobilam - tego
            dobrze.
            Logi z tych dwoch programów-o ktorych pisales wysłałam na twoja poczte - rano
            z pracy sprawdzałam- a teraz niestety - kiedy usiluję otworzyc okno poczty- mam
            komunikat - strona niedostepna. Wogole- prawie wszystkie strony- sa
            niedostepne :( Myslalam- ze juz jest OK i przynajmniej wrocilo do stanu z
            wczoraj- ale niestety - praktycznie nie moge korzystac z internetu.
            • Gość: Kolobos Re: blagam o sparwdzenie loga IP: *.warszawa.sdi.tpnet.pl 07.05.05, 00:54
              Jakich dokladnie plikow nie moze przeskanowac avast? i gdzie sie one znajduja?
              Czy sa jakies obiawy trojanow/spyware itd? Wyskakuja jakies okienka? pokazaly
              sie jakies nowe ikonki w trayu lub na pulpicie?

              Przeskanuj system tym:
              housecall.trendmicro.com/housecall/start_corp.asp
              www.windowsecurity.com/trojanscan/
              www.pandasoftware.com/activescan/pol/activescan_principal.htm
              www.spywareinfo.com/xscan.php
              www.bitdefender.com/scan/licence.php
              www.ravantivirus.com/scan/
              download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe

              Wklej tez nowy log z sillentrunners i wyslij mi jeszcze raz log z Directory
              Printer tylko wymierz zeby zrobil od jeszcze wczesniejszej daty w tym co mi
              wyslalas nic nie ma, albo w ogole nie wybieraj daty i niech wszystko zaloguje.
              • Gość: grazka Re: blagam o sparwdzenie loga IP: *.Kuso.osi.pl 07.05.05, 18:54
                Avast nie moze przeksanowac : C:WiNDOWS\system32\n?svc32.exe c;WINDOWS\system32
                \n?pdb.exe C:\ \ PejaslumsAttac-kurweskie?cie.mp3
                i kiedy chce usunac- "pojawiła sie bład w czasie przetwarzania wyników" lub nie
                mozna usunac nvsvc32- odmowa dostepu.
                Nie mam praktycznie zadnych objawów - nie wyskakuja okienka, nie ma
                przekierowan na inne strony.Jedynie czesto komputer sie resetuje- ale bez
                zadnych ostrzezen i to nie musi byc znak wirusa??
                Skanowałam - ale :
                PAnda- przy sciaganiu jej - wlanczał sie Avast - ze jest tam wirus ( byc moze
                to tylko plik do wykrywania wirusa o tej nazwie- ale nie byłam pewna- wiec
                przerywałam.
                WINDOWSECURITY.com.trojanscan- znalaz 16 plikow- ale nie wiedziała co sciaganc
                z tej ich głownej strony- aby usunelo zaznaczone pliki :( A najpierw 3 razy mi
                sie zrestetowal komputer, potem zawiesil , w koncu po 5 scanie- nie wiedzialam
                co sciagnac :(
                MICROSOFT.COM - sciagnełam- ale on w kolko chce sie instalowac- natomiast nie
                moge znalesc nigdzie "scan " :(
                Poczytalam - ze rootkitka- mozna usunac remv3- ale tez nic nie znalazl.
                • Gość: Kolobos Re: blagam o sparwdzenie loga IP: *.warszawa.sdi.tpnet.pl 07.05.05, 19:11
                  Wywal oba pliki killbox'em, delete on reboot i wklej:
                  C:\WINDOWS\system32\n?svc32.exe
                  nastepnie to samo z:
                  C:\WINDOWS\system32\n?pdb.exe

                  I Juz nie powinno byc problemu.
                  • grazka555pm Re: blagam o sparwdzenie loga 07.05.05, 19:17
                    dziekuje bardzo-
                    wlasnie probuje to usunąć Killbox- i z "n?svc32.exe" - zrobiło
                    się "nvsvc32.exe"- i nie wiem- czy to nvsvc32.exe - mozna usunać - czy to jest
                    do czegoś potrzebne ?
                    • Gość: Kolobos Re: blagam o sparwdzenie loga IP: *.warszawa.sdi.tpnet.pl 07.05.05, 19:30
                      nvsvc32.exe to NVIDIA Driver Helper Service, a wiec kawalek sterowniki nvidii i
                      jego nie usuwaj tylko ten z ? w nazwie.
                      • Gość: grazka Re: blagam o sparwdzenie loga IP: *.Kuso.osi.pl 07.05.05, 20:02
                        Dziekuje ci bardzo, bardzo, bardzo.
                        No i nie wiem- czy dalej robic cos z tym 04 , ktore nie chce sie usunac ?
                        Czy dac spokoj :) TOBIE przedewszystkim :)- bo juz i tak ci czasu zabrałam a i
                        pewnie nerwów napsułam :)
                        • Gość: Kolobos Re: blagam o sparwdzenie loga IP: *.warszawa.sdi.tpnet.pl 07.05.05, 21:19
                          Widze, ze napislas na searchengines ale nic Ci nie pomogli.
                          Napisalem juz tam PW do moderatora, zeby odblkowal ten watek i jeszcze raz
                          wszystko sprawdzili.

                          Rootkita masz dalej , a to sa jego DNSY:
                          O17 - HKLM\System\CCS\Services\Tcpip\..\{2F9C0CC3-DB07-4219-AC65-
                          45A128789980}: NameServer = 69.50.184.86,195.225.176.110
                          O17 - HKLM\System\CCS\Services\Tcpip\..\{94C41D8E-6389-4532-9194-
                          32D1073ED7FA}: NameServer = 69.50.184.86,195.225.176.110
                          O17 - HKLM\System\CCS\Services\Tcpip\..\{E90BCB0C-1D3E-4C84-A63A-
                          590933C5E211}: NameServer = 69.50.184.86,195.225.176.110
                          O17 - HKLM\System\CS1\Services\Tcpip\..\{2F9C0CC3-DB07-4219-AC65-
                          45A128789980}: NameServer = 69.50.184.86,195.225.176.110
                          O17 - HKLM\System\CS2\Services\Tcpip\..\{2F9C0CC3-DB07-4219-AC65-
                          45A128789980}: NameServer = 69.50.184.86,195.225.176.110

                          Dlatego nie otwieraja Ci sie strony, usun te wszystkie wpisy.
                          Ustaw sobie DNS'y takie jak masz w swojej sieci (takie jakie udostepnia Twoj
                          dostawca netu), ustawia sie je we wlasciwosciach protokolu tcp/ip w
                          polaczeniach sieciowych i telefonicznych w panelu sterownia, ale bez
                          ustawionych tez powinno dzialac.
                          • Gość: grazka Re: blagam o sparwdzenie loga IP: *.Kuso.osi.pl 08.05.05, 00:29
                            Jestem Ci niezwykle wdzieczna . I bardzo dziekuje za zainteresowanie i
                            pomoc.Od poczatku miales racje z tym rootkit. CZytam tam na searchengines o
                            usuwaniu go - ...uf..A wiesz jakos "odpuscilam" searchengines gdy okazalo sie
                            ze tam watek jest zablokowany.
                            Tylko gdy tak czytam o tym rootkit- to jednak u mnie w sumie tak źle nie
                            wyglada. Nigdzie nie nie przekierowuje, nie mam zadnych wyskakujacych okienek,
                            dzisiaj nie mam najmniejszego problemu z netem- niby wszystko OK .no ...ale
                            wiem ze tam gdzies tkwi..ale to musi byc u mnie juz kilka miesiecy....
                            Chyba sobie wydrukuje wszystko w pracy o jego usuwaniu , bo to jest zbyt
                            skomplikowane, a ja okropnie sie boje ze zrobie cos nieodwracalnego - i komp
                            calkiem padnie :(
                            Gdzie moge dowiedziec sie jakie sa DNSy w mojej sieci ? U sasiada ???
                            Te dwa pliki "n? "ze znakiem zapytania usuwałam Killbox ( i nawet w trybie
                            awaryjnym - ale i tak - kiedy znowu skanowalam Avastem- pokazał je znowu :(
Inne wątki na temat:
Pełna wersja